政务数据安全的法律制度保障

苏 宇

政务数据安全是数据安全中最重要的方面之一。政务数据体量巨大,不仅汇集了大量公民个人信息,更包含着众多国家秘密和不宜对外公开的内部工作信息,一旦发生数据安全风险,将使国家利益及人民群众的合法权益受到严重威胁。政务数据的灭失、误读写或被篡改等情形既可能误导或延宕重大决策,也可能危及公民一系列权益的认定和保障。在智慧城市日益依赖于政务数据的有效性和准确性之前提下,政务数据一旦遭遇恶意篡改、错误删除或介质损毁等风险,整个城市范围内某一方面的基础性公共服务供给可能面临巨大的冲击。在数字政府建设进程中,这一问题日益受到重视。《数据安全法》专章规定“政务数据安全与开放”;《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号,以下简称《指导意见》)进一步提出“构建数字政府全方位安全保障体系”,其中明确要求“构建全方位、多层级、一体化安全防护体系”,“确保政务系统和数据安全管理边界清晰、职责明确、责任落实”。各地亦纷纷出台了与政务数据安全有关的法律规范或政策文件,一系列标准已得到制定或在抓紧制定之中,各方面的制度建设可谓已在“紧锣密鼓”地进行。

尽管政务数据安全问题已经在法律和政策层面备受关注,政务数据安全的制度建设仍可谓任重道远:一者,政务数据安全面临的威胁尚未得到充分认识,不少学者和实务工作者还是在网络安全的范围内理解数据安全问题,寻找数据安全保障思路,对于数据推理、云原生等方面的特殊威胁缺乏认知;二者,政务数据安全保障与政务云平台建设、政务数据共享开放等工作既需要并行不悖,又需要有效控制安全成本,确保安全方案的可行性,此方面的制度建设仍面临不少难题;三者,政务数据安全的法律、政策、标准体系诚可谓方兴未艾,如何能使之协调一致,形成机理融贯而运行流畅的制度实践,尚大有文章可作。因此,当务之急是清楚认识政务数据安全面临的主要威胁,系统检视政务数据安全保障的技术基础和制度需求,并对比现有的法律规范、技术标准、政策文件和内部管理制度,努力使此四者形成符合数据安全治理规律的制度保障体系。有力应对政务数据安全的种种威胁,确保公共利益和公民合法权益不因数据安全问题遭遇重大风险,为建设数字政府,形成数字治理新格局奠定基础。

一、政务数据安全面临的主要风险

伴随数字政府建设的不断推进,政务数据安全面临的风险也日益引人注目。对于“政务数据”的具体内涵和外延,目前尚无中央层面的权威、统一的界定,而地方立法实践中已出现不同表述,例如《福建省政务数据管理办法》第2条第2款规定:“本办法所称政务数据是指国家机关、事业单位、社会团体或者其他依法经授权、受委托的具有公共管理职能的组织和公共服务企业(以下统称数据生产应用单位)在履行职责过程中采集和获取的或者通过特许经营、购买服务等方式开展信息化建设和应用所产生的数据。”《安徽省政务数据资源管理办法》第2条第2款规定:“本办法所称政务数据,是指政府部门及法律、法规授权具有行政职能的组织(以下称政务部门)在履行职责过程中制作或者获取的,以电子或者非电子形式记录、保存的文字、数字、图表、图像、音频、视频等,包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。”纵观既有研究与立法实践,不同的定义方式基本上都包含共通的内涵和外延:政务数据是指政府部门或者具有公共管理职能的组织在履行职责过程中通过各种方式获取或生成的数据,主要的争议范围在公共服务企业在履行职责过程中获取或生成的数据是否属于政务数据。目前,由于这一争议范围已经日益明显地为“公共数据”所包含,将政务数据的外延限制于党政机关和授权性行政主体所处理的有关数据较为适宜。

政务数据主体构成复杂,政务数据安全所面临的风险也非常广泛,潜在威胁众多,其主要风险来源可以概括为以下四个方面:首先,政务数据安全最主要的风险源是网络攻击,这也是数据安全与网络安全的视野交汇点;其次,政务数据有可能因管理方面的缺陷而在线下被窃取或毁坏,如被内部工作人员故意销毁、篡改,或因管理不善而丢失或误遭删改、销毁,或被攻击者直接从线下窃取;再次,政务数据中的敏感信息有可能在合法的数据利用活动中经由数据推理而被破解;最后,政务数据还可能因为灾害或事故而遭到毁损。这些威胁是政务数据安全保障所需要防御和控制的风险。

(一)网络攻击

网络安全是数据安全的重要前提,网络攻击也是数据安全的最主要隐患。奇安信2022年发布的《2022年上半年网络安全应急响应分析报告》显示,政企机构重大数据安全事件的起因中,外部(网络)攻击占据第一位(40.2%),排第二、三位的分别是内部人员违规操作(14.0%)和合作伙伴泄漏(13.1%)。(1)奇安信企业网站:https://www.qianxin.com/threat/reportdetail?report_id=111,2022年11月2日访问。APT攻击(高级可持续威胁攻击)、盗用特权账户的身份凭证、远程植入木马、传播计算机病毒、SQL注入等方式始终威胁着与网络有联系的数据的安全,安全漏洞难以杜绝,恶意程序、钓鱼邮件等依旧层出不穷。值得注意的是,信息技术蓬勃发展的同时也带来了更多的安全隐患,这些隐患不仅来源于攻击方式的持续更新和演化,也有相当一部分来源于对开源代码的依赖。当前许多应用程序体量庞大,需要大量借助第三方开源组件完成开发,软件供应链越来越复杂,开源软件迭代迅速,如果代码审计等工作的进度跟不上信息技术应用的发展,此方面的严重威胁就将持续存在。大量政务单位不一定有能力甄别和修复开源代码中的漏洞、后门等,可能导致类似于Apache log4j漏洞之类的风险继续发生。

(二)管理缺陷

政务数据管理上的缺陷可能导致多方面的威胁,既可能导致外部人员线下窃取数据,也可能导致内部人员出于故意或过失违法违规篡改、删除、销毁、传输数据,还可能导致数据介质的意外损毁及内容的灭失。例如,管理缺陷的常见情形之一,就是业务应用系统因存在漏洞或业务逻辑权限安排不当,导致非授权用户越权访问或获取数据操作权限。(2)参见陈永刚、赵增振、陈岚:《政务数据安全合规评估要点及实践》,载《信息安全研究》2022年第11期,第1053页。这些管理缺陷问题在政务数据共享开放和政务云建设的条件下还可能被放大。由于各部门系统网络安全等级保护标准不统一、防护等级不相同的现状普遍存在,(3)参见袁刚等:《政务数据资源整合共享:需求、困境与关键进路》,载《电子政务》第10期,第112页。在政务数据资源整合共享的背景下,尤其是在政务云平台环境下,局部的防御短板容易被攻击者用为跳板发起攻击,影响到全局的网络和数据安全。数据跨部门(安全域)留存而安全策略不一致、政务数据利用的不当授权或第三方滥用、缺乏有效监管跟踪等因素,都有可能导致数据安全风险。(4)参见罗海宁:《简析政务信息共享数据安全体系要点》,载《保密科学技术》2020年第4期,第8页。

管理缺陷可能导致的安全风险是多方面的,因此这一因素在数据安全评估中占有较为重要的地位。在浙江省大数据发展管理局提出、归口并组织实施的《公共数据安全体系评估规范》(DB33/T 2488-2022)中,制度规范(含9项管理制度)和运行管理子体系(含数据安全团队和7项机制)这两个评估项占据一级评估指标项的三分之二;《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019,即著名的“DSMM”)中几乎每一环节的数据安全能力都会考虑“组织建设”“制度流程”“技术工具”“人员能力”等因素,其中管理性的因素占比相当显著,任何一个环节的管理缺陷都可能是政务数据安全的重大隐患。

(三)数据推理

数据推理是数据价值利用的重要方式,但恶意推理对数据安全的威胁也不可忽视。公开数据与非公开数据、合法接触数据与无权限接触数据之间如果存在某种关联性,推理者就有可能在合法使用的前提下推测出本无接触权限的敏感信息,特别是推理者对多源异构数据的模式匹配分析能力超出数据安全治理中已有映射关系的保护能力时,更可能会产生敏感信息泄露的后果。数据推理可以基于数据之间的各种相关关系或因果关系,在不发动任何非法入侵或攻击的前提下,发现或估测数据中难以被直接发现或直观认知的隐含信息或被抑制信息。受威胁的目标信息不仅仅是敏感的原始数据本身,也有可能是相关数据的某些关键数学特征(如数据流形维度、概率分布、稀疏度等)及其关键变化,即便原始数据不泄露,其背后所隐含的秘密(如军事行动)也可能被发现。(5)苏宇:《数据推理的法律规制》,载《浙江学刊》2022年第4期,第49页。不仅如此,在人工智能时代,数据推理还会影响算法安全。因为“深度学习算法本质上是在所有概率测度构成的空间内进行优化,算法既记住了训练样本,又学习了内在知识”(6)顾险峰教授对这一观点也曾在不同场合进行过专门的解释。雷娜、顾险峰:《最优传输理论与计算》,高等教育出版社2021年版,第393页。,既然算法模型中已经融合了训练样本的信息,攻击者就可以通过复杂的推理方法(如在训练影子模型的基础上进行推理)攻击人工智能系统以窃取其训练数据,即发动所谓“成员推理攻击”(membership inference attacks),对用户隐私和数据安全造成显著威胁。(7)参见王璐璐等:《机器学习训练数据集的成员推理综述》,载《网络空间安全》2019年第10期,第2页。一个最著名的实例是大型人工智能算法模型GPT-2因为过拟合(overfitting)而被攻击者反推其中用于训练的个人数据。(8)See Nicholas Carlini, Florian Tramèr, et, al. Extracting Training Data from Large Language Models, 30th USENIX Security Symposium (2021), p. 2633.

近30年来,数据推理安全研究已经从统计数据库推理控制扩展到数据仓库推理控制,细化了推理控制的颗粒度,强化了推理控制的动态性。(9)参见黄晓森、彭利宁、陈启买:《基于数据立方体的动态推理控制方法》,载《计算机工程》2011年第17期,第32页。然而,对于多源异构数据的推理控制,始终没有一劳永逸的解决方案。这一隐患在政务云平台中还会被进一步放大,因为政务云往往需要面向各个政府部门并支撑其服务公众,呈现“点多、线长、面广”的特征,互联网暴露面大,更兼不同政务部门的政务数据公开口径不同,数据集聚、关联性挖掘分析风险大增,数据推理的威胁因此也将尤为显著。

(四)灾害事故

灾害、事故对网络安全和数据安全都构成了威胁,受灾害、事故影响的网络可以被重建和恢复,但在灾害、事故中灭失或受损的数据如无异地容灾备份等保障,有可能遭受永久性的破坏。由于政务数据往往对智慧城市等基础性应用形成重要支撑,灾害、事故对数据的冲击有可能带来更为深远的后果。通常,数据存储的设备和场所都需要有一定的容灾抗毁能力,但一旦容灾抗毁能力由于人为原因未能实际体现,或灾害、事故对相关场所和设备的冲击超出了容灾抗毁能力边界,数据安全事件就依然有可能发生。不仅如此,由于成本限制,容灾备份实际上也很难完全消除数据灭失的不良后果,因为数据恢复点目标(Recovery Point Objective,简写为RPO)和恢复时间目标(Recovery Time Objective,简写为RTO)越接近于零,需要的成本越是高昂。即便理论上可以实现非常小的RPO和RTO,许多数据的容灾备份工作到底实际成效如何,还有待实践检验,不能假定所有政务数据都已实际上充分实现了较高灾难恢复能力等级的异地容灾备份。质言之,由灾害事故所导致的数据安全风险依然是制度建设需要考虑的因素。

整体上,政务数据安全需要考虑的风险要素较为复杂,制度建设的需求亦十分精细,外部技术条件的演化发展又较为迅速,这导致政务数据安全的制度保障难以一蹴而就,必然需要持续的、渐进性的制度建设与完善过程。我们需要立足于我国政务数据安全保障的现有规范依据与制度基础,充分考虑政务数据安全保障的目标约束和可用技术条件,以现实可行的方式推动政务数据安全保障制度的体系化完善。

二、政务数据安全保障的规范依据与制度框架

随着各类数据安全风险日益凸显,我国亦在日益重视政务数据安全的保障,当前我国已在《网络安全法》和《数据安全法》的基础上,逐步建立了政务数据安全保障的法律规范,各部门、各地方亦以此为依据,陆续制定了一系列相关政策文件。与此同时,政务数据安全的相关技术标准也得到了迅速发展,为政务数据安全保障提供了“软法”性质的规范依据。(10)参见罗豪才、宋功德:《软法亦法》,法律出版社2009年版,第2页。政务数据安全保障的相关法律规范、标准体系和政策文件在一定范围内转化为了政府内部的具体管理制度,并由此形成了内容丰富的制度框架。迄今为止,政务数据安全保障的相关制度已经在防范政务数据安全风险方面发挥了不可或缺的基础性作用,成了相应管理措施、技术标准及处置方案发挥作用的基石。尽管相关制度仍有若干未尽清晰、完备之处,但整体上已可谓轮廓初具、纲举目张。

(一)政务数据安全保障的规范依据

迄今为止,我国在政务数据安全保障方面的立法已规模初具,在《数据安全法》《网络安全法》《个人信息保护法》《保守国家秘密法》《密码法》等法律的基础上,一系列与政务数据安全密切相关的法规、规章及规范性文件陆续得以制定,为政务数据安全的具体管理制度和保障措施提供了重要法律规范依据,其中又以《数据安全法》《网络安全法》及其配套立法最为关键。《数据安全法》明确了相关主体的政务数据安全保障义务,为政务数据安全保障的下位立法及相关管理制度的建设提供了最为关键且直接的规范支持。《数据安全法》第39条规定:“国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。”第40条又规定了电子政务建设中受托方的数据安全保障义务。在这两条规定之外,《数据安全法》第三章规定的各项数据安全制度也适用于政务数据安全保障事宜。《网络安全法》主要是通过有关网络安全等级保护制度和关键信息基础设施保护体系的规定为政务数据安全提供基础性的保障。此外,《个人信息保护法》中有关个人信息处理者采取安全保护措施及制定并组织实施个人信息安全事件应急预案的义务等规定,《密码法》中有关密码分类管理、商用密码标准体系建设以及检测、认证、评估等要求对于政府数据安全保障亦必不可少。

在政务数据安全保障的规范依据中,相关技术标准作为“软法”性质的依据,其重要性日益显著。目前,与政务数据安全有关的技术标准已相当丰富,基本上均为推荐性标准,已经形成了多层次的技术标准体系。(1)国家标准,其中又包括两方面的内容,一是不专门针对政务数据安全但适用于政务数据安全保障的技术标准,如著名的《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019,业内习惯以其英文缩写简称“DSMM”)、《信息安全技术 大数据安全管理指南》(GB/T 37973-2019)等;二是专门适用于政务数据安全的技术标准,如《信息安全技术 政务信息共享 数据安全技术要求》(GB/T 39477-2020)。(2)行业标准,这一层级的标准目前尚罕有专门针对政务数据安全保障的标准,但不少技术标准由于关系数据安全保障的底层技术或与政务数据安全密切相关的应用领域,对于政务数据安全保障亦有重要意义,如中国通信标准化协会归口制定的《面向互联网的数据安全能力技术框架》(YD/T 3644-2020)、民政部归口制定的《居民家庭经济状况核对 数据安全管理要求》(MZ/T 165-2020)等。(3)地方标准,这一层级的标准中主要值得关注的就是大量专门针对当地政务数据或公共数据安全保障的具体标准,如深圳市市场监督管理局归口制定的《公共数据安全要求》(DB4403/T 271-2022)、泰州市市场监督管理局归口制定的《政务数据安全分类分级指南》(DB3212/T 1116-2022)、北京市经济和信息化局归口制定的《政务大数据安全技术框架》(DB11/T 2049-2022)、台州市市场监督管理局归口制定的《公共数据安全可信保障指南》(DB3310/T 90-2022)等。目前,多层次的标准体系正在逐步扩展和涵盖政务数据安全保障的各个方面,并在前述法律规范依据的范围内具体指引着数据安全保障工作的进行,许多在法律规范中表述较为抽象的制度或机制,如数据分类分级管理、数据加密、隐私计算等,在相关技术标准中已经得到了具体的外延式展开,政务数据安全保障的颗粒度由此得以充分细化。

在前述法律规定和技术标准的基础上,各地方、各部门在公共数据管理、政务数据资源应用、数据共享与开放等相关配套立法中制定了更丰富的规则,为政务数据安全保障提供了更精细和具体的管理制度依据。例如,《广东省公共数据管理办法》(2021)第45条规定的公共数据共享数据库加密双备份要求;《浙江省公共数据条例》(2022)第39条规定的设置数据安全管理岗位及管理岗位责任制;《湖北省政务数据资源应用与管理办法》(2021)第32条规定的日志留存和数据溯源等安全防护措施等。部分地方政府规章还注意到了政务数据安全保障必须关注的某些关键方面,如《山西省政务数据管理与应用办法》(2020)第22条第2款规定:“政务云服务提供方应当确保政务云数据安全。”上述规则为政务数据安全保障提供了进一步的规范依据,政务数据安全保障的制度框架亦由此逐渐成型。

(二)政务数据安全保障的制度框架

制度是人设计出来的,用以型塑人们相互交往的所有约束,通过提供规则以减少不确定性,界定并限制了人们的选择集合。(11)参见[美]道德拉斯·诺思:《制度、制度变迁与经济绩效》,杭行译,格致出版社、上海三联书店、上海人民出版社2014年版,第4页。政务数据安全需要成体系的制度保障,相关制度既包括法律制度,也包括符合法律宗旨、在法律制度范围内形成的一系列政策性制度和带有规范性内涵的技术标准,还包括各单位基于法律制度、政策文件和技术标准形成的内部管理制度。与单纯的规范不同,制度呈现为一个正式约束与非正式约束的综合体,(12)参见[美]道德拉斯·诺思:《制度、制度变迁与经济绩效》,杭行译,格致出版社、上海三联书店、上海人民出版社2014年版,第81页。这些约束包括嵌套在科层结构中的各种规则。(13)参见[美]道德拉斯·诺思:《制度、制度变迁与经济绩效》,杭行译,格致出版社、上海三联书店、上海人民出版社2014年版,第98页。这一综合体所包含的各种约束有助于降低不确定性,在实践中表现为由旨在简化处理过程的一系列规则和程序构成一定形态的制度框架,通过结构化的互动限制行为人的选择集合。(14)参见[美]道德拉斯·诺思:《制度、制度变迁与经济绩效》,杭行译,格致出版社、上海三联书店、上海人民出版社2014年版,第29-30页。相对于纸面上的规范依据,制度框架更加关注不同层面的规则和程序提供了何种约束机制或选择集合。目前,为政务数据安全保障提供规则和程序的法律规范、重要政策文件、已被实践应用的技术标准以及相应的内部规章制度等,已经从不同层面共同构筑了我国政务数据安全保障的制度框架。以《数据安全法》和《网络安全法》为主的系列立法推动了政务数据安全保障制度框架的基本建立。《网络安全法》为政务数据安全保障的制度框架奠定了最初的基础,针对各种各样的网络攻击,网络安全实践早已发展出了丰富的防御和保护机制,形成了网络安全等级保护(目前的“等保2.0”)为基础的网络安全制度框架。网络安全的制度框架当然也包含对数据安全的保护,但对于流动性数据的利用安全而言,“传统信息安全范式和网络安全范式下静态的安全边界防护方法已经难以满足安全需求”,需要在制度层面迎接数据安全范式革新,“核心是要管控好数据大规模流动、聚合和分析所致风险即大数据安全风险”。(15)参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期,第10-11页。在《数据安全法》及相关配套立法、标准、政策等积极推动安全范式革新的基础上,政务数据安全保障的制度框架正在日渐成型,进一步从组织、对象、技术、流程、责任配置等不同层面为政务数据的安全提供了全方位的保障。

纵观政务数据安全保障的既有法律实践,这一制度框架中包含的主要内容可分别从组织层面、对象层面、技术层面、流程层面加以概括。(1)组织层面,实行安全保护责任制度和安全管理责任人制度,前者确定安全保护责任(职责)的整体配置,通过分解数据安全保护目标而形成明确、具体的岗位职责,多数情况下将政务数据安全保障责任与数据处理者角色结合,实行收集者、使用者、运行者等数据处理角色与责任承担者的统一;(16)这方面比较完整的一个表述,可参见《安徽省政务数据资源管理办法》(2020)第38条第1款的规定:“数据提供部门应当按照谁主管、谁负责,谁提供、谁负责的原则,负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。”第2款规定:“数据使用部门按照谁经手、谁负责,谁使用、谁负责,谁管理、谁负责的原则,负责共享数据使用全过程安全。”后者确定或设置政务数据安全的专门负责人,明确安全管理责任的主要承担者。(2)对象层面,实行政务数据分类分级保护(或称“分类分级管理”)制度,按照有关法律规范(如《山西省政务数据安全管理办法》第9条)的要求,在政务数据全生命周期采取差异化管理措施,对核心数据和重要数据提升保护等级和力度。(3)技术层面,实行基于一系列技术性防护措施的安全防护制度,要求采取身份认证、访问控制、数据加密、数据脱敏、数据溯源、数据备份、隐私计算等多种技术措施;利用互联网等信息网络开展政务数据处理活动,还应当落实网络安全等级保护制度,其中身份认证、访问控制等部分措施与数据安全管理制度有交集,一定条件下可以合并处理。(4)流程层面,将数据安全保护义务合理融入数据处理和安全保障的工作流程中,并择机进行数据安全评估、审查、审计、攻防演练等活动。部分流程在地方立法中已经被明确为一项制度,如风险评估制度、数据销毁制度等。上述制度框架在数据安全保障实践中正得到不断细化和完善,成为政务数据安全的重要基石。

迄今为止,政务数据安全保障的制度框架已可谓规模初具,但相关制度的运行仍不免面临一系列挑战。在最理想化的情境中,我们当然可以通过不计代价的严防死守应对挑战,杜绝风险,问题是政务数据安全保障的制度建设与运行几乎不可能在静态、全能和零成本的理想化情境中展开,而必须面对现实中存在的众多局限性和不确定性。社会生活、信息技术和数据处理活动的发展变化速度之快,使得法律不可能对数据安全制度作出静态的规定,数据安全立法赋予数据处理者的数据安全保护义务必须是灵活和可延展的,能够有效应对不断变化的风险形势、应用场景和约束条件。(17)参见王玎:《论数据处理者的数据安全保护义务》,载《当代法学》2023年第2期,第44页。因此,政务数据安全的制度保障必须能够以有效应对众多现实约束条件为前提,充分考虑多种因素对制度实践的影响,追求面向不确定性条件作出最优风险决策的制度化保障能力。

三、政务数据安全保障制度建设的制约因素

政务数据安全的制度保障需要进一步建设与完善,但制度建设的路径和具体的机制设计不能从理想的数据安全模型中直接推导出来,必须充分考虑一系列现实因素的制约。这些制约因素决定了政务数据安全保障难以绝对实现“零风险”的理想状态,在实践中往往需要在一定水平的约束条件下作出理性的决策,并追寻最优的综合价值平衡,这一目标也需要被有效整合到政务数据安全的制度保障体系之中。实践中,政务数据安全保障的主要制约因素可以被归结为以下四种:安全成本、技术能力、利用需求及管理水平,每一种制约因素都是机制设计语境中的约束条件,都可能制约着政务数据安全目标的充分实现,需要在制度建设与完善的过程中予以恰如其分的考量。

(一)安全成本

安全成本是政务数据安全保障工作中必须充分考虑的基础性约束条件。政务数据安全保障需要在网络安全成本和保密成本中额外增加数据安全成本,这种成本主要包含以下几方面:一是大体量数据安全共享、开放乃至开发利用过程中的数据处理成本,根据具体场景需求,相关成本可存在较大差异,如果需要整体上实现隐私计算,成本相对较高;二是大体量数据的安全存储、传输、备份和销毁成本;三是常规数据安全工具的配置与维护,需要实现数据溯源、日志审计等功能;四是数据推理风险控制和数据库相关数据安全工具的配置与维护;五是密码硬件加速等确保数据安全条件下数据处理效率的额外开销。(18)密码硬件加速甚至是部分数据安全企业的核心竞争力所在,“不但保障数据全生命周期的高安全性,而且有效解决了数据安全的效率瓶颈问题”,参见向炎涛:《十六部门力促数据安全产业高质量发展 上市公司积极响应》,载《证券日报》2023年1月17日,第B2版。安全成本因素中还需要特别考虑人力资源的因素,例如配备数据安全管理方面的专门工作人员,也是一笔成本;通过现有工作人员兼任的方式或许能降低成本,但若整体上的工作量持续溢出,也还是需要通过增加工作岗位和财政开支解决。这些成本可以部分地整合于政务数据共享、开放、开发利用等成本中,如果一地的地方财政开支较为紧张,又没有基于政务数据开放和开发利用所带来的直接或间接财税收入,政务数据安全保障成本的约束效果就会较为突出。

安全成本对制度完善的影响集中体现在对安全目标和安全保障职责的设置方面,越强的安全成本约束意味着越有合理控制安全目标和安全保障职责的必要性。这不仅意味着对安全保障职责的设定和安全防护制度的具体要求需要考虑各类单位的负担能力,也意味着在大部分情况下“唯结果论”形式的无过错责任并不可取,需要综合考量负有安全管理和保障职责的有关主体采取各种安全措施的期待可能性,采取过错责任的归责原则。

(二)技术能力

政务数据安全保障需要较强的技术能力。例如,根据既有研究,政务(大)数据安全防护能力在宏观层面包含网络安全、平台安全和应用安全3个核心要素;而在微观层面,各核心要素背后又分别涉及多项具体的能力指标。(19)参见孙轩、王焕骁:《政务大数据安全防护能力建设:基于技术和管理视角的探讨》,载《计算机科学》2022年第4期,第70页。这些能力指标并非所有系统都能具备,如平台故障屏蔽指标“关注于系统的底层稳健性,主要考查相关云计算平台的虚拟化功能和故障时期的资源调配能力,以及是否拥有足够资源以满足数据容灾和虚拟机漂移等技术应用需要”,(20)孙轩、王焕骁:《政务大数据安全防护能力建设:基于技术和管理视角的探讨》,载《计算机科学》2022年第4期,第70页。此种技术能力对相关软硬件配置不足的基层单位无疑是一项考验。即便不论系统底层因素,聚焦于数据层面的安全,技术能力上的挑战也同样突出。国际知名权威机构高德纳公司(Gartner)提出了DCAP(Data Centric Audit and Protection)理念,即以数据为中心的审计和保护,其字面含义是要求安全和风险管理领导者必须使用以数据为中心的审计和保护产品,具体包括数据分类和发现、数据安全策略管理、用户权限和数据访问活动的检测、审计和报告、行为分析告警和阻断等,(21)参见罗海宁:《简析政务信息共享数据安全体系要点》,载《保密科学技术》2020年第4期,第10页。此种理念已在我国数据安全技术标准体系中得到体现。对于DSMM等较为完备的代表性数据安全技术标准而言,技术能力方面的要求并不简单。DSMM将数据安全能力成熟度分为5级,等级3对于许多单位而言尚可实现,等级4“量化控制”中的许多技术对于资金或技术条件不足的单位即有一定实现难度,如数据分析安全(9.2.2.4)等级4要求中的数据安全分析算法设计、数据分析过程安全风险监控系统、基于机器学习的敏感数据自动识别等要求,部分单位自身可能缺乏技术基础和专业人才加以落实;如果将相应服务外包,则又会触发额外的安全成本和管理水平约束。实践中,一些地方政府可以实现的API审计系统、数据水印溯源系统、大数据湖仓/中台等,(22)参见刘小芳:《聚焦数据安全建设,泰州市为政务数据加把“安全锁”》,载《信息安全》2022年第12期,第124-125页。可能相对于另一些地方政府构成显著负担与挑战,即便能够通过外包服务解决成本限制,有关单位的工作人员自身也需要能够充分理解相关的技术问题和安全要点。

不仅如此,技术能力方面的更深刻约束还体现在现有技术的局限性与数据安全风险的不可知性。数据安全的未知风险往往来自于技术上的突破或信息技术应用实践中的发现。一些原本被认定为安全的技术工具可能在经历一段时间后被证实为不安全的,例如即使运用“K-匿名”技术的联邦学习也仍然有可能泄露个人信息导致再识别,基于此技术的智能城市交通分析的匿名呼叫详细记录数据集中,仍有可能重新识别多达95%的个人。(23)See Silvio Sampaio, Patricia Sousa, et al. Collecting, Processing and Secondary Using Personal and (Pseudo)Anonymized Data in Smart Cities, 13 Applied Sciences 3810, 3853 (2023).更重要的是,许多突破或发现的产生在具体时间节点与场合有极大的不确定性,而且一旦技术破解的推动者没有选择及时公开信息,就会存在强烈的信息不对称。例如,SHA-1算法被成功实现碰撞攻击(24)See Senyang Huang, Orna Ben-Yehuda, et al. Finding Collisions against 4-Round SHA-3-384in Practical Time, IACR Transactions on Symmetric Cryptology, Vol. 2022, No. 3, p. 242.、扩散模型(diffusion model)被证明会泄露训练数据(含个人隐私)(25)See Nicholas Carlini, Jamie Hayes, et al. Extracting Training Data from Diffusion Models, arXiv:2301.13188v1 [cs.CR], https://arxiv.org/abs/2301.13188, last visited: 2023-04-01.、Apache Log4j高危漏洞曝光(26)参见《网络安全和信息化》编辑部:《Log4j 2漏洞冲击软件供应链安全 中小型企业如何应对?》,载《网络安全和信息化》2022年第2期,第44页。、升级版Deepfake算法模型攻破人脸识别系统(27)参见曹建峰、方龄曼:《“深度伪造”的风险及对策研究》,载《信息安全与通信保密》2020年第2期,第95页。等,都是可能威胁数据安全的著名例子,如果相关信息并未被及时公布,数据安全就会面临几乎无人知晓的重大威胁。

技术能力对制度完善的影响主要体现于有关安全防护制度和技术措施的要求方面。立法者和管理制度设计者无法一蹴而就地完成理想化的安全保障体系,也不能对政务数据安全的制度保障作过于静态和固化的理解。法律规范及相关制度除避免对非核心数据规定过于严苛的技术性安全目标外,还应在涉及安全防护制度和技术措施的规定中保留一定程度的开放性与灵活性,避免刻舟求剑,减少技术快速更新迭代对规范修改和制度变革造成的压力。此外,技术能力的制约因素也要求制度保障的内容包含必要的数据安全信息共享和传导机制,促使各单位、各部门的数据安全策略及时有效同步,尽可能克服应对数据安全威胁的能力局限性和信息局限性。

(三)利用需求

政务数据安全不是静态的安全,不能将全部数据锁在对外物理隔离的仓库中进行严防死守。《数据安全法》第3条第3款明确规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”因此,数据安全必然是动态的安全。数据的价值唯有在高效流动和利用,满足各种利用需求的过程中才能充分实现,而这一过程又可能制约着数据安全的充分保障。例如,政务数据进入区块链可以更好地促成数据的溯源和开发利用,然而,“政务区块链最大的安全挑战是政务数据、公民隐私数据上链所带来的数据泄露风险”,而“政务区块链作为承载高价值数字资产的底层系统,可能面临更严峻的网络攻击。”(28)陈宇轩、朱涵、桑彤:《多地“政务上链”,新数据孤岛、安全风险等问题待解》,载《浙江法制报》2020年8月3日,第006版。又如,许多地方立法规定需要在实现数据共享、开放或开发利用的同时,确保数据安全,而数据开放或合作开发利用中的数据安全保障要求必然显著高于相对静态的内部数据安全要求,至少需要经过严格的脱敏脱密处理;数据共享则可能面对不同单位的防护能力的差异性,而数据安全风险往往取决于防护的“短板”。更需要关注的是,政务数据的利用将日益依赖于云计算,而政务数据及其处理过程“上云”以后,将更容易成为黑客攻击的目标,而各用户的数据安全也在相当大程度上依赖于云平台是否能够及时更新防御策略和软件,降低多方面的数据安全风险。(29)See Jared Harshbarger, Cloud Computing Prividers and Data Security Law: Building Trust with United States Companies, 16 Journal of Technology Law &Policy 229, 236 (2011).

自更深一层观之,在数据利用过程中,经常存在利用与安全的平衡难题:从“安全性”角度来看,在很多数据资源流转与处理的信息系统中,使用未经严格论证的协议的问题一度比较突出,或者存在密码算法不合规、使用不正确、密钥缺乏全生命周期管理等现象,(30)参见徐建等:《新型数据中心网络安全体系研究》,载《信息安全与通信保密》2022年第7期,第127页。不能保证数据的真正安全,不符合我国商用密码应用安全性评估的安全要求;而从“有效性”角度来看,很多系统使用了数据加密、隐私计算、安全多方计算等技术之后,会带来实际运行效率的降低,从而影响数据资源使用的有效性。(31)参见向炎涛:《十六部门力促数据安全产业高质量发展 上市公司积极响应》,载《证券日报》2023年1月17日,第B2版。对于政务数据安全而言,类似问题在理论上亦不可避免地存在,以加密要求为例,加密方案可以选择轻量级、中量级或重量级的密码方案,需要精准把握安全和效率(包括成本)的平衡,加密程度越高,计算资源和时间成本也越高,甚至可能使数据利用难以正常进行;反之,完全依靠轻量级密码,数据安全的基础就会相当脆弱。然而,在庞大系统的加密方案中寻求完美平衡需要以精准预见数据安全风险为前提,在变动不居的安全态势中,实现精准动态平衡的难度可想而知。在普遍保留安全冗余的前提下,政务数据安全动态保障的目标水平往往高于理想平衡点,这又对安全保障能力提出了更高的要求。更深层的难题则涉及数据处理者是否可以继续持有和利用数据的根本选择,“倘若(数据安全保障)义务主体现有的技术水平、内部管理制度能够保障可接受的数据安全,则义务主体可以选择继续持有这些数据,而非只能选择销毁这些数据。”(32)赵精武:《从保密到安全:数据销毁义务的理论逻辑与制度建构》,载《交大法学》2022年第2期,第34页。这就使数据处理者可能面临艰难的抉择,有可能冒险选择不能确保安全的道路。

利用需求对制度完善的影响主要体现在制度设计的安全冗余方面,需要尽可能避免保留过度的安全冗余。以安全为目标导向的法律制度和管理规则往往会保留一定程度的安全冗余以预防难以预料的复杂不确定风险,但安全冗余范围越大,数据可利用的范围和方式就越有限。实践中,政务数据分类分级管理制度可以对安全冗余范围实行精细化的控制,有利于在数据开放等利用场景中合理把握数据安全与数据利用的平衡,“对政府数据依据不同类别进行安全级别的鉴定和赋予不同的开放权限,才能更有利于政府数据的有效开放,防止泄密和危害社会安全问题的发生。”(33)迪莉娅:《政府数据开放成熟度模型研究》,载《现代情报》2019年第1期,第108页。利用需求这一制约因素对政务数据分级的精准程度提出了潜在的要求,利用需求越强,安全冗余范围的控制就应当越严格,数据分级的合理性和准确性就越面临考验。

(四)管理水平

政务数据安全需要专门的管理体系,而管理水平很大程度上影响数据安全保障的效果。首先,管理者自身是否具备数据安全意识和相关基础知识,决定了管理者对工作人员和第三方的监督可能性与实际效果。由于数据安全的技术门槛较高,相关责任人和技术人员之间的“知识沟”可能成为一个制约因素,其中存在的信息不对称可能导致安全隐患难以被发现,甚至被恶意利用。其次,数据安全领域不断演化的技术要求能否持续、顺利地被吸纳和整合到管理流程中,也持续考验着政务数据安全保障实践,尤其是基于旧的技术标准或规章制度已经固化的管理流程,更新速度如果跟不上数据安全攻防对抗的发展,无法固守边界防护等传统网络安全的阵地,数据安全就容易受到威胁。再次,对受托(外包)方的管理制度可能很大程度上影响数据安全。由于大量政务数据处理工作被外包,甚至部分政务数据处理任务的外包是为了带动IT企业集聚和产业发展,(34)参见谷嫦瑜、齐心:《陕西省政务数据异地灾备中心落地延安》,载《延安日报》2023年2月14日,第10版。政务数据处理的外包服务安全就变得尤为重要。

现实中,外包服务安全甚至可以成为威胁政务数据安全的最主要风险之一。目前部分地方立法已注意到这一点,如《重庆市数据条例》第18条第1款规定:“接受委托开展政务信息系统建设、维护以及存储、加工政务数据的,应当依照法律、法规的规定和合同约定履行数据安全保护义务,建立数据安全管理制度,确定专门的数据安全管理机构和人员,……”即便如此,以行政机关有限的人力资源和技术基础,如何在某些技术要求复杂的大型应用场景中有效监督平台级别的外包服务方,仍然是一项严峻的挑战。在有限的管理资源基础上,委托方对受托方的监督能力和管理性规章制度的建设已成为关键问题,政务数据安全保障的实际效果在一定程度上也受到此方面管理能力的制约。

管理水平对制度完善的影响主要体现于安全保障过程方面,规则制定者难以基于理想的数据安全管理模式导出政务数据安全保障流程并设定所有程序性规则,为此,必须充分考虑政务数据安全保障过程中的管理人员能否有效实施这些流程和规则。政务数据安全保障制度中的许多管理性规定不能假定管理人员具备足够专业的数据安全知识,除负责核心数据和重要数据安全的专门岗位,应尽可能基于一般理性人而非专业理性人的前提设定管理职责和法律责任。

总而言之,政务数据安全的制度保障,实际上也和企业的数据安全工作一样,是在一系列约束条件下面向不确定风险推进的一项“综合性工程”。在信息科技和数字政务持续高速发展的背景下,政务数据安全保障是否充分,取决于相关主体能否在种种约束条件下及时有效实现政务数据安全保障的主要目标。现实中,数据安全存在“木桶短板效应”,(35)参见罗海宁:《简析政务信息共享数据安全体系要点》,载《保密科学技术》2020年第4期,第7页。任意环节的显著短板均可导致数据安全面临严重威胁。因此,政务数据安全保障制度的完善尽管可以采取稳健渐进的方式,却不能不从一开始就考虑保障的系统性和完备性,考虑从根本上突破前述约束的最优路径,寻求整体性的制度建设之道。

四、政务数据安全保障制度的一体化完善

政务数据安全保障制度的建设和完善需要充分考虑上述四重约束条件,根据既有法律规范的授权和相关要求,形成条修叶贯、综理密微的具体制度方案。整体上,前述四重约束条件的作用,很大程度上是因政务数据的分散存储和处理而凸显。在数据治理实践中,集中治理模式下的数据安全治理已经显示出更强的强制性、效率性和责任性,(36)参见范玉吉、张潇:《数据安全治理的模式变迁、选择与进路》,载《电子政务》2022年第4期,第116页。如果能够相对集中开展政务数据的处理、利用和安全保障活动,通过集约、提质、增效的方式节省安全成本,提供技术防护和管理能力,可以一定程度上克服前述约束条件的限制。当前,政务数据安全保障工作可以与全国范围内的政务云平台统筹建设等进程紧密结合,形成全局性、前瞻性和系统性保障方案的基础已经初步具备。对此,应及时启动中央和地方层面的立法进程,通过法律制度的建设促进技术标准和管理制度的发展与充实,进而推动政务数据安全保障制度的一体化完善。

(一)政务数据安全保障制度一体化完善的现实理据

政务数据安全保障体系的建设应力求避免“零敲碎打”,尽可能在一定地域或行业范围内实现集约化、系统化,对核心数据和重要数据实行集中保护,而相应的制度建设亦应如是,主要依托资源集约、工具完备的政务数据平台及数据处理过程,一体化制定和完善相关规则。此种思路的主要理据可以从以下两个方面加以阐述。

1.应对制度建设制约因素的必然选择

政务数据安全保障制度的一体化完善有助于克服前述制约因素对制度建设的影响。数据全生命周期的安全保障涉及因素及目标众多,对管理水平、技术能力和投入成本都提出了较高的要求,“各自为战”的政务数据系统不仅会导致大规模的重复建设和巨额耗费,还将分散使用本就有限的专业技术力量,更可能导致彼此之间的数据安全风险信息难以及时共享,导致跨库数据推理风险防控困难,造成多倍高昂投入反而防御薄弱的后果。相反,集中建设的政务数据平台不仅可以大幅节约安全保障成本和专业技术人力资源,也可以大幅提升政务数据共享利用的效率,还有利于针对集中的政务数据建立推理通道阻塞等必要的防御机制,实现理想的数据安全保障目标。对于集中处理的政务数据平台而言,数据规模增长的数据安全保障成本边际增量远较分散处理情况下的边际增量低,而数据利用价值的边际增量则远较分散处理情况下的边际增量高。因此,政务数据的集中和整合更契合数字政府建设的需求,相应地也就更需要发展一体化的政务数据安全保障制度。实践中,我国数字政府建设正日益向集约化、系统化的方向发展,政务中台等代表性应用正在得到研究者的积极肯定,(37)参见北京大学课题组:《平台驱动的数字政府:能力、转型与现代化》,载《电子政务》2020年第7期,第26页。为政务数据安全保障制度的一体化完善奠定了重要基础。

不宁唯是,政务数据日益依赖云计算的利用需求与趋势,客观上更进一步要求政务数据安全保障活动及相关制度的一体化完善。随着政务数据体量迅速增长、政务数据共享及开发利用规模日益庞大,政务数据“上云”的趋势也越来越确定。各地政府早已出现了大量建设与应用“政务云”的实践,例如“芜湖人民城市云”宣称,赋能医疗、教育、企业等行业数字化转型,可以破解分散数据存储空间限制、数据安全隐患、能耗大等痛点,实现“7×24”小时不间断服务,还能降低运维与系统集成成本。(38)参见潘晔:《精细化管理城市 下足“绣花功夫”》,载《芜湖日报》2023年2月27日,第A01版。政务云的建设天然地需要一体化的平台以实现集约、高效、安全的数据处理活动。《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)已明确提出“构建全国一体化政务云平台体系”的任务,要求“国务院各部门政务云纳入全国一体化政务云平台体系统筹管理。各地区按照省级统筹原则开展政务云建设,集约提供政务云服务。探索建立政务云资源统一调度机制,加强一体化政务云平台资源管理和调度。”在未来,随着我国数字政府和电子政务的进一步发展,几乎所有政府部门都需要频繁开发和完善与数字政府的整个系统及其他电子政务应用相兼容的应用,基于降低开发成本和难度,提升开发效率,充分利用共享数据,高效供给计算资源,保障应用兼容性及便利监督与审计等多方面的需求,电子政务的基石逐步走向“云原生”几属必然趋势。鉴于未来政务数据安全保障将很可能被日益置于“云安全”乃至“云原生安全”的框架中进行,有关方面即应提前布局,充分研究政务数据安全保障制度一体化完善的方略与路径。

2.正视政务数据安全风险特性的客观要求

政务数据安全保障制度的一体化完善是对政务数据安全风险特性及发生规律的正面回应。政务数据安全保障与此前已经全面开展的网络安全保障的相关制度及工作机制密切相关,但政务数据安全风险的新型来源和特性使相关制度保障不能简单沿袭网络安全保障的思维,而是需要深入革新保障思路,从而应对更加复杂的政务数据安全保障需求。

在最基础的层面上,一个长期存在的问题必须首先得到重视和解决,即“突出外围边界建设,轻视内网安全,对网间连接的边界防御过于重视,对内部业务应用和数据安全管理不够。”(39)邓恒、杨雪:《线上审判方式中信息与数据安全问题研究》,载《中国应用法学》2021年第1期,第26页。事实上,大量威胁数据安全的网络攻击来自内部,(40)See A. Mousa, M. Karabatak and T. Mustafa, Database Security Threats and Challenges, 2020 8th International Symposium on Digital Forensics and Security (ISDFS), Beirut, Lebanon, 2020, p.3.并且系统的弱点更容易被内部人员利用。不仅如此,由于来自管理漏洞和数据推理的风险与日俱增,在数据安全保障实践中,边界防御已只能承担部分基础性的防护任务,应用层和内部数据处理过程的安全防护成为日益重要的任务。例如,政务信息资源共享业务流程的安全性考虑,重点在于有条件共享和不共享数据的共享申请审批以及共享过程的安全监控和审计跟踪,(41)参见罗海宁:《简析政务信息共享数据安全体系要点》,载《保密科学技术》2020年第4期,第9页。相关过程对边界防御的依赖性即显著较低。类似地,运行时应用自防护(RASP)、云函数监控、数据溯源、数据分析结果扫描等安全机制亦为政务数据安全保障所日益必需,已远超出单纯的边界防御而走向立体性的“防御纵深”,这是分散化的政务数据安全保障机制很难完成的任务。

在更深层的意义上,政务数据安全保障不仅需要在边界防御的基础上构筑充分的“内线防御”,还必须改变静态防护理念并克服对外部技术支持的依赖心态,不能寄望于通过外购设备或软件一劳永逸地实现安全保障。数据安全形势瞬息万变,新技术、新工具、新应用持续涌现,信任基础不断变化,此种不断动态演化的形势使得数据安全保障理念必须“升级换代”:一方面,政务数据安全的保障者既不能简单放弃传统的“阵地战”理念,又必须努力寻求更敏捷、更能动、更讲究平衡性和颗粒度的保障体系,追求从“静态平面型”向“动态立体型”保障体系的转变;另一方面,政务数据安全的保障者不能完全依赖于安全产品或技术服务的供应方,放弃对网络安全和数据安全风险的关注、追踪和研判,尤其需要避免将政务数据安全保障寄托在对专业第三方品德和能力的主观信任之上,必须对高度专业、背景复杂、流动性强的第三方技术团队建立完备的风险监控与管理措施,同时自身也应形成必要的专业能力基础。此种积极、自主的专业能力建设的必要性在于克服对固定工作流程和技术团队的依赖,有能力对防御体系进行一定程度的升级或改进;一旦政务数据处理平台与第三方技术团队失去联系或终止合作,可以及时、高效地更新相关设备、系统或服务,避免防御水平的停滞乃至滑坡。这种专业能力和管理水平的建设必然要求管理资源的相对集中和规章制度的全面优化,尤其是建立专业、精密、成体系的规章制度,能够客观上支持政务数据安全保障制度一体化完善的需求。

政务数据安全保障制度一体化完善的上述现实需求,客观上决定了我国应当从中央层面加强政务数据安全保障的法制基础。政务数据安全保障的建章立制需要符合行政法治的精神,各种政务数据处理主体所建立的各项规章制度应当有明确的、权威的上位法授权依据,政务数据安全保障制度的一体化完善思路更天然地适宜由统一的中央层面立法作出系统性、全局性的明确规定,基于中央政府汇集的政务数据安全信息和对政务数据安全形势的全局性认识,提出各地方、各部门应当普遍遵守的政务数据安全保障要求。《数据安全法》为政务数据安全保障奠定了法律层面的依据,但其“框架性立法”的特点和有限的篇幅难以肩负政务数据安全保障的全部制度供给任务;对此,应制定政务数据安全保障方面的基础性行政法规(建议命名为《政务数据安全保障条例》),并在其中授权各地方、各部门因地制宜、因事制宜,制定相应的地方性法规、地方政府规章或部门规章,统一而有区别地推动上述立体、动态、积极、自主的数据安全保障思路在不同地区和部门根据制约因素的具体情况贯彻落实,为政务数据安全保障各项具体制度的建设、运行与完善,提供明确的法律授权、必要的规则限制和与时俱进的价值指引。

(二)政务数据安全保障制度一体化完善的具体路径

政务数据安全保障制度的一体化完善,需要在《政务数据安全保障条例》的基础上,依托数据安全能力成熟度模型等已有的系统性探索,革新政务数据安全保障思路,从组织性规则、程序性规则、技术性规则等方面对相关安全保障制度做全方位的优化、改进和整合。

1.组织性规则:安全保障职责的梯次化设定

政务数据安全保障职责实行以专门岗位为中心的梯次化设定是组织性规则中应当确立的关键制度设计。根据数据安全能力成熟度模型,政务数据安全保障在组织机制层面的要求主要是设立数据安全管理的专门岗位乃至管理机构,这一要求已在许多制度实践中得到体现,也应在《政务数据安全保障条例》及配套下位立法中明确体现。明确数据安全负责人和管理机构的关键意义在于,将数据安全保护者嵌入机关、单位的组织架构,突出数据安全保护工作对数据处理者的重要性,进而要求数据处理者有专职机构或者人员推动数据安全保护的法定义务得以落地执行。(42)参见王玎:《论数据处理者的数据安全保护义务》,载《当代法学》2023年第2期,第45页。其中,设置专门岗位的要求尤为具有普遍的重要意义。大部分公共机构的工作人员并不具备充分的数据安全知识与技能,令其承担过重的数据安全责任可能会导致片面严防死守、数据利用减少的结果,从而无法实现《数据安全法》所强调的“确保数据处于有效保护和合法利用的状态”之目标。必须保证具备必要专业能力水平的人员肩负主要安全保障职责,从整体上把握所在单位的数据安全状况并控制关键的数据处理流程;其余参与政务数据采集、共享、开放、销毁等需要对数据进行专门处理或采取特定安全防护措施的数据处理活动的相关工作人员,仅对公职单位中具有平均教育水准的一般理性人所能够充分理解并作出准确判断的细分事项负责;日常接触和使用政务数据的工作人员,则只需要肩负类似于保密义务的常规注意义务。

数据安全保障职责的梯次化配置有利于合理设定数据安全保障的职务与责任体系,尽可能促使各类工作人员对自己力所能及的判断精准负责。在技术能力、管理水平和利用需求的三重约束下,只有将数据安全保障职责相对集中于有专业能力的管理岗位,才能在有限的保障条件基础上尽可能完成对数据安全风险的整体控制。一般而言,数据安全保障的组织性规则需要细化排查包括系统、应用、终端、身份、数据等在内的所有风险点并建立相应的监测和控制手段,并将采取相应措施的权限与职责合理配置到各个具体岗位。为确保职责履行到位,还需要提前埋设问责点,使风险报告及处置职责与明确的责任机制形成紧密联系,确保工作人员对具体风险的发生负明确的责任。在专业能力相对缺失、管理体系未尽成熟及利用需求存在不断变化的不确定性前提下,分解风险点和埋设问责点都有可能不够准确、全面,因此,避免平均分配控制权限和责任,尽可能限制普通岗位所负责的数据安全保障义务是有必要的。将数据安全保障的主要责任和相应的流程控制权、监督检查权、审核权等相对集中于一定范围内的专业工作人员,既有利于防御各种镶嵌于电子政务流程的数据安全风险,也有利于建立科学精准的数据安全保障职责结构和问责体系。相对集中了安全保障权限和责任的专门管理人员还应对决定购买或接受第三方的数据处理服务负有数据安全风险评估与检查之职责,并明确要求其有义务及时发现并有权提出更换已不适应安全保护需求或存在重大隐患(例如曾发生重大数据泄露事件)的合作方,防止类似事件再次发生。

2.程序性规则:安全保障程序的多层面设计

政务数据安全保障的一体化完善需要全面考虑程序性规则的设置,基于政务数据平台自身的工作流程和对外包第三方的管理过程,形成精细化的程序规定。这些规定可以由《政务数据安全保障条例》提供框架性的指引,通过各地方、各部门的政务数据安全保障配套立法及相关技术标准进一步形成具体的规则,全面覆盖行为、数据、算法的动态变化,在最微观尺度上展开并完成政务数据安全保障的制度设计。

首先,在人员行为层面,《政务数据安全保障条例》应当明确要求政务数据处理平台及类似的政务数据集中处理者建立完备的规章制度,面向平台管理、数据处理及应用设计、开发、维护、运行等全流程的所有工作人员建立完整的工作程序要求,确保风险环节全覆盖、关键行为全记录、安全义务全落实。直接调整相关规章制度建设的法规或规章还应当明确规定政务数据处理者在数据处理过程中的三项关键义务:其一是防御能力动态维护义务,即无论自主建设数据安全防护系统,抑或采购第三方设备和服务,都需要定期完成规范的数据安全漏洞与风险排查程序,对数据安全状态和系统防御能力形成报告并提交政府中负责政务数据安全的部门存档备查,通过建立报告对比、随机抽查、飞行检查等程序机制,确保各单位及时增强防御能力并持续进行系统升级,防止对数据安全防护软硬件系统“只买不用”“只装不动”;其二是数据安全风险报告义务和采取补救措施之义务,即一旦发生数据泄露等数据安全事件,数据处理者应当立即采取处置措施,按照预先制定的程序性规定及时告知用户并向有关主管部门报告,(43)参见程啸:《论数据安全保护义务》,载《比较法研究》2023年第2期,第68页。告知和报告的次序与范围应根据具体单位面临的数据安全形势与保障需求确定;其三是对外包第三方的风险监测与关键行为审核义务,即对外包第三方的工作人员建立专门的、完整的工作规程和问责机制,建立不可绕过的身份及访问管理系统,对所有的操作者赋予严格对应的唯一身份标识,确保系统访问、应用访问及数据处理操作的可追溯性,持续监测第三方行为的数据安全风险,对数据传输、代码出域等关键行为设置必经的审核程序,严防外包第三方泄露敏感信息引发导致整个数据库被“攻陷”的风险。

其次,在数据层面,《政务数据安全保障条例》应当要求政务数据处理平台建立从数据采集开始直至数据销毁的全生命周期安全保障程序,相应的地方立法或部门立法还应在相关程序规则中明确要求建立以下几项基础性的制度或机制:一是要求对敏感数据加密存储,并从工作流程层面开始限制数据访问途径和范围;二是全面强化数据库和服务器的密码保护机制,对密码的处理建立专门的程序性限制,尤其是禁止明文发送核心密码;三是结合平台内政务数据处理和安全保障实践,精当配置访问权限,合理界定异常数据处理活动,规范工作人员对此类异常动态的响应与处置措施;四是对需要共享和开放的数据进行必要且合理的脱敏脱密处理,在共享和开放程序中嵌入此项机制;五是建立数据处理活动记录留存制度,既服务于数据安全风险监控与问责,也致力于在数据处理者对外传输和共享数据之后,及时跟踪和明确这些数据的传输路径和实际持有人。(44)参见赵精武:《破除隐私计算的迷思:治理科技的安全风险与规制逻辑》,载《华东政法大学学报》2022年第3期,第39页。在此基础上,政务数据处理平台还需要在力所能及的范围内,尽可能完成两项具有持续性、动态性的制度保障任务:一是根据数据安全防护等级的要求,将动态更新的相应技术标准内容持续整合至数据安全保障程序规则中,完成对数据全生命周期风险的覆盖与防御;二是在使用新兴数据处理技术之前,需要经过专门的数据安全风险评估程序,唯有对该技术的风险有足够清晰的认知时,才可投入使用,(45)参见赵精武:《破除隐私计算的迷思:治理科技的安全风险与规制逻辑》,载《华东政法大学学报》2022年第3期,第37页。以此来满足风险预防的要求。

再次,在算法层面,《政务数据安全保障条例》需要促使政务数据处理主体对处理政务数据的算法模型及具体代码建立严格的风险监测与控制程序。相关程序机制应涵盖两个子层面:在算法模型层面,主要是定期评估政务数据处理所用算法模型的风险或隐患,及时报告和共享算法模型的运行错误情况,不断改进模型以实现算法安全可靠之目标。此种评估程序可以合并于政务数据安全风险动态评估程序中进行。在代码层面,代码安全问题非常突出,需要在两方面深入、细致地建立程序性控制规则:一是对开源组件的风险监测和管理。此类组件存在的安全问题较多,一旦发生安全风险,影响范围和危害后果均属巨大。以业界2021年11月log4j漏洞安全事件为例,风险发生后,许多单位对此漏洞束手无策,只能等待第三方供应商的修补与响应;(46)参见《网络安全和信息化》编辑部:《Log4j 2漏洞冲击软件供应链安全 中小型企业如何应对?》,载《网络安全和信息化》2022年第2期,第44页。此类重大漏洞一旦涉及政务数据安全问题,即可能存在难以防御之风险。普通数据处理主体显著缺乏发现和防御开源代码风险的能力,不宜独立承担此方面的数据安全保障义务,应由《政务数据安全保障条例》统一规定使用开源代码组件进行开发的一般要求和具体程序规则,授权制定使用开源代码处理政务数据的技术标准并逐步建立可信代码库,建立政务数据处理主体在可信代码库以外使用开源代码的标记和报备程序,并规定中央负责政务数据安全保障的部门对此进行监督检查和指导改进的权限与具体机制。二是对代码(含注释)的流向实行严格控制。自数据安全领域的有关经验教训观之,代码(含注释)的流出及分享可能导致严重的数据安全隐患,必须确保代码不出域、流向可追踪,未经依法依规严格审批,不对外传输数据及代码;若单位本身没有能力自行建设及维护相关系统而将服务外包或对外进行委托,同样需要建立对外传输代码的审核程序,并由具有较高数据安全权限的专门岗位负责审核代码出域申请,确保政务数据的代码安全。

3.技术性规则:安全防护体系的标准化配置

越是复杂的政务数据处理活动越需要系统性的技术工具构建风险防控体系。目前数据安全的相关技术工具已经相当丰富,在原有网络安全工具和数据库安全工具(47)数据库安全工具(传统数据安全产品工具)主要包括数据库防火墙、审计工具、数据中心安全工具和网络应用防火墙等,此类工具的重要作用在于监视数据库及网络应用的活动情况,监测和判别SQL输入或用户请求的异常并执行过滤或防御性操作等,See P. S. Murthy and V. Nagalakshmi, Database Forensics and Security Measures to Defend from Cyber Threats, 2020 3rd International Conference on Intelligent Sustainable Systems (ICISS), Thoothukudi, India, 2020, pp. 1304-1305.的基础上,又增加了数据安全分类分级标识工具、数据脱敏工具、可追溯标签工具、隐私计算工具、数据销毁工具等。这些工具不仅有助于防范各类数据安全风险,更有助于在保障安全的前提下满足特定的利用需求。许多工具都是在数据利用与数据安全的动态平衡中不断发展完善的,其技术指标蕴含了深刻的价值平衡考量,可以为不同场景中政务数据的有效利用提供精细入微的支持。鉴于不同安全等级和场景所需要的工具不尽一致,《政务数据安全保障条例》及相应的地方立法、部门立法均应规定政务数据处理平台的数据安全技术工具标准化配置义务:政务数据处理者应当根据相关技术标准系统性地合理配置数据安全技术工具,在数据分类分级保护的框架内对数据进行必要的安全化处理,实现平台内数据流动和利用的实时感知与追溯,确保数据处理日志的完整记录和可审计性,为风险控制和问责提供必要的技术条件和证据。此种标准化配置义务并不意味着政务数据处理平台不能自行增加防御手段,恰恰相反,前述法律制度应当允许乃至鼓励平台在标准化技术防护体系之外增设隐蔽的安全防护措施、应用新型数据安全保护工具,避免由于标准本身的缺陷而导致统一配置的防护体系被熟悉缺陷的专业攻击者破解。

此外,对于处理核心和重要数据的政务数据处理平台,按照标准化的要求配置和运行一体化的风险监控系统亦甚为必要。目前许多数据包嗅探器(Packet Sniffers)能够感知数据流出的动态,并由此定位网络漏洞,(48)See A. Mousa, M. Karabatak and T. Mustafa, Database Security Threats and Challenges, 2020 8th International Symposium on Digital Forensics and Security (ISDFS), Beirut, Lebanon, 2020, p. 1.这一技术可以成为更强大的数据安全风险监控系统之基础。借助精心设计的风险监控系统,平台可以在各个环节部署数据埋点并设置风险预警机制,建立风险行为和异常状态感知模型,监测和记录正常运行状态和操作轨迹以外的各种异动,对异常的数据流动及处理活动及时识别和响应,并向上级管理机关发出不能被删除或篡改的预警信息。对于处理核心和重要数据的系统或平台,在建立完备的风险监测工具且直接受委托方监控的全方位风险管理机制以前,不得擅自引入第三方服务或将相关数据处理活动外包,实现政务数据处理活动中安全风险的全流程可控。上述要求亦需要在《政务数据安全保障条例》中加以规定,或授权各地方、各部门在配套下位立法中形成具体规则,为政务数据安全保障奠定风险感知与响应的制度基础。

无疑,上述政务数据安全保障制度的一体化完善思路尽管并非立足于静态、全能和零成本的理想化假设,但全面实现此种制度目标并确保其持续运行仍需要较充分的资源投入、技术条件与管理能力,几乎唯有在集约化、系统化的政务数据处理平台才有条件充分实现。然而,此种完善思路毕竟并非“挟山超海”的恢弘设想,更多的是“未雨绸缪”甚至可谓“临渴掘井”的现实考量。在不久的将来,随着数据体量的继续增长和数据利用需求和方式的进一步丰富,迈向政务数据大量集中的“数据湖”“数据仓库”乃至“湖仓一体”是具备高度盖然性的发展趋势,前述四种制约因素的影响将进一步凸显,而在数据安全保障压力水平不断上升之际,适度强调制度建设的前瞻性与体系性尤为必要。诚然,为分散型的政务数据安全保障保留空间仍有现实必要,但基于集约化、系统化的政务数据处理和安全保障方式,全面、细致地构建和完善各项数据安全制度,应是当下数字政府建设之迫切任务与主要面向。

五、结语

政务数据安全的制度保障是一项复杂的“制度工程”。在数字时代,政务数据中汇集的信息可谓关系重大,深刻影响着公民的权益保障、社会的秩序维系乃至国家的正常运转。随着政务数据的体量向ZB乃至更大规模发展,政务数据安全已不再可寄望于计日程功的涓滴之劳,而是需要整体谋划、渊图远算,通过集中资金、技术、人才、管理等资源形成高水准的科学保障,以法治的方式努力在风险防控与价值挖掘之间尽可能取得最优的平衡。

诚然,政务数据安全保障将面对动态演化的数据安全风险,其技术基础和制度体系都需要通时合变,不能固守一时之论而刻舟求剑。无论如何,通过制定政务数据保障方面的专门性法律规范,坚持立体、动态、积极、自主的数据安全保障思路,从组织性规则、程序性规则和技术性规则等方面建立全方位的制度保障体系,在相当长一段时间内都将是必不可少的基础性工作,需要法律、技术专家与管理者深度合作、同心戮力。